Мой опыт: украденный iPhone и фишинг

Расскажу про случай, когда после кражи у меня iPhone столкнулся с фишингом — хотели выманить данные для разблокировки телефона и входа в iCloud. Не думаю, что ситуация уникальная, но метод фишинга похож на тиражируемый — поэтому решил поделиться. Предупрежден, значит вооружен.

Кража

Телефон у меня украли в пригородном поезде — на какой-то момент я оставил его без присмотра. Мне казалось, что из-за невозможности использовать заблокированный девайс по назначению такие кражи сошли на нет, но какому-то маргиналу показалось иначе.

После кражи я активировал режим пропажи (Lost Mode) и оставил через него номер для связи — никому неизвестный и ни к чему не привязанный номер Билайна. Попытки дозвониться на телефон ничего не дали. Через Локатор (Find My) телефон находился в незнакомом мне районе города и двигался.

После этого я заблокировал сим-карту через оператора. Кстати, мой iPhone не имел физического слота для сим-карты — я использовал e-sim. Также на следующий день я подал заявление в ОВД по месту жительства и на другой день связался с транспортной полицией — они немного побухтели, но запросили у меня объяснение, подробности и фотографии коробки телефона. Сказали, что камеры в поезде (кстати, современном) могли быть и нерабочими. Не думаю, что они мне помогут — подал заявление для очистки совести.

Последующие несколько дней мой iPhone путешествовал по разным районам города, пока не остановился в одном месте — впоследствии трансляция геопозиции прекратилась. Я даже съездил туда (20 минут на машине), но никаких потенциальных точек для поиска не нашел — ни ломбардов, ни контор по ремонту телефонов, куда бы он мог быть продан на запчасти.

Фишинг

Через 4 дня после того, как трансляция геопозиции телефона остановилась, мне на основной номер — привязанный к iCloud — посыпались сообщения через iMessage от пустого аккаунта с именем Apple. Они показались мне подозрительными — я знаю, что система блокировки/разблокировки потерянных iPhone работает не так. Также не заслуживающим доверия показался адрес ссылки icloud.us.com.

Внутри (открывать такое надо только с разумными мерами предосторожности) — очень похожий на официальную страницу Apple лендинг, где сначала мелькает карта в стиле Find My, затем всплывает якобы форма входа в аккаунт iCloud. В другой раз лендинг запрашивал код-пароль от моего iPhone. Ясно-понятно. Информация о домене также подтвердила отсутствие его связи с Apple. Главная страница пустая.

Примечательно, что сообщения пришли на неизвестный злоумышленникам мой основной номер — повторюсь, в качестве контакта в Lost Mode я указывал другой, ни к чему не привязанный.

Следовательно:

• злоумышленники или узнали мой основной номер через пробив по оставленному номеру, после чего проверили его на предмет связи с Apple;

• или каким-то образом вытащили номер или электронную почту через сам телефон.

Вся эта схема с лендингом на фишинговом сайте icloud.us.com похожа на готовую схему разблокировки украденных и потерянных iPhone для перепродажи. Соответственно, она тиражируется.

Также обращу внимание, что злоумышленникам удалось полностью блокировать трансляцию геопозиции телефона через Find My — если бы я прислал им данные, они должны были быть готовы ввести их на включенном телефоне, который при включении питания должен независимо ни от чего транслировать свою геопозицию.

Итог

Такой способ снять обманом блокировку с телефона кажется мне довольно опасным. Признаюсь, получив сообщение от отправителя Apple я сам сперва подумал, что это что-то важное. Также не самого погруженного в тему человека может не смутить ссылка icloud.us.com, да и сама фишинговая страница выглядит правдоподобно, вплоть до анимации.

Сейчас думаю, что мне стоило не спешить блокировать сим-карту, а стереть все данные на iPhone удаленно: режим Lost Mode по идее будет работать после обнуления устройства. Сейчас у телефона нет шансов подключиться к интернету и, как следствие, до него не дойдет команда на удаление.

Если бы фишинг удался и злоумышленникам получилось снять защиту с моего iPhone и продать его, следующим пострадавшим после меня оказался бы незадачливый покупатель. Его бы дернула полиция: IMEI-номер телефона отправляется в базу украденных. Когда в телефон с таким IMEI вставляют идентифицируемую сим-карту, вычислить ее владельца дело техники — в прошлом знаю несколько таких случаев среди моих знакомых, когда в полиции находили потерянные или украденные у них телефоны таким вот образом, не вставая с кресла. Риск нарваться на украденный разблокированный iPhone стоит держать в голове при покупке б/у — так что нужны доказательства приобретения (коробка или чек).

Не удивлюсь, если злоумышленники сделают еще какой-нибудь заход выманить данные для разблокировки или банально попытаются получить «награду» за «найденный» телефон — верить им, конечно, нельзя.

P.S. Оказалось, что Роскомнадзор не работает по мошенническим сайтам — отправляют в МВД. Жаль, на мой взгляд как раз такие сайты должны блокироваться на счет «раз».